Vulnerabilidades

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: block: Fix el valor menor máximo es blk_alloc_ext_minor() ida_alloc_range(..., min, max, ...) devuelve valores de min a max, ambos incluidos. Por lo tanto, NR_EXT_DEVT es un idx válido devuelto por blk_alloc_ext_minor(). Esto es un problema porque en device_add_disk(), este valor se usa en: ddev->devt = MKDEV(disk->major, disk->first_minor); y NR_EXT_DEVT es '(1 << MINORBITS)'. Por lo tanto, si 'disk->first_minor' fuera NR_EXT_DEVT, se desbordaría.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: watch_queue: liberar la matriz de páginas cuando se desmantela watch_queue. el commit 7ea1a0124b6d ("watch_queue: liberar el mapa de bits de asignación cuando se desmantela watch_queue") se hizo cargo del mapa de bits, pero no de la matriz de páginas. ERROR: pérdida de memoria objeto no referenciado 0xffff88810d9bc140 (tamaño 32): comm "syz-executor335", pid 3603, jiffies 4294946994 (edad 12.840s) volcado hexadecimal (primeros 32 bytes): 40 a7 40 04 00 ea ff ff 00 00 00 00 00 00 00 00 @.@............. 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ backtrace: kmalloc_array include/linux/slab.h:621 [en línea] kcalloc include/linux/slab.h:652 [en línea] watch_queue_set_size+0x12f/0x2e0 kernel/watch_queue.c:251 pipe_ioctl+0x82/0x140 fs/pipe.c:632 vfs_ioctl fs/ioctl.c:51 [en línea] __do_sys_ioctl fs/ioctl.c:874 [en línea] __se_sys_ioctl fs/ioctl.c:860 [en línea] __x64_sys_ioctl+0xfc/0x140 fs/ioctl.c:860 do_syscall_x64 arch/x86/entry/common.c:50 [en línea]

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: ref_tracker: implementar la detección de use-after-free Siempre que se llama a ref_tracker_dir_init(), se marca la estructura ref_tracker_dir como inactiva. Pruebe el estado inactivo de ref_tracker_alloc() y ref_tracker_free() Esto debería detectar dev_put()/dev_hold() con errores que ocurren demasiado tarde en el proceso de desmantelamiento de netdevice.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: drm/bridge: Agregar la función pm_runtime_put_sync que falta pm_runtime_get_sync() aumentará el contador de PM en tiempo de ejecución incluso cuando devuelva un error. Por lo tanto, se necesita una disminución de emparejamiento para evitar la fuga de refcount. Solucione esto reemplazando esta API con pm_runtime_resume_and_get(), que no cambiará el contador de PM en tiempo de ejecución en caso de error. Además, se necesita una disminución coincidente en la ruta de manejo de errores para mantener el contador equilibrado.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: mt76: mt7921: se corrige el bloqueo cuando falla el inicio. Si la NIC no se inicia, es posible que ya se haya programado el reset_work. Asegúrese de que el elemento de trabajo se cancele para que no tengamos un bloqueo de use-after-free en caso de que se llame a la limpieza antes de que se ejecute el elemento de trabajo. Esto corrige el bloqueo en mi apu2 x86_64 cuando la radio mt7921k no funciona. La radio sigue fallando, pero el SO no se bloquea.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: ath11k: mhi: use mhi_sync_power_up() Si faltaba amss.bin, ath11k se bloquearía durante 'rmmod ath11k_pci'. La razón de esto era que estábamos usando mhi_async_power_up() que no verifica ningún error. Pero mhi_sync_power_up(), por otro lado, verifica errores, así que usémoslo para solucionar el bloqueo. No pude encontrar una razón por la que se usó una versión asincrónica. ath11k_mhi_start() (que habilita el estado ATH11K_MHI_POWER_ON) se llama desde ath11k_hif_power_up(), que puede dormir. Por lo tanto, la versión sincronizada debería ser segura de usar aquí. [ 145.569731] Fallo de protección general, probablemente para la dirección no canónica 0xdffffc0000000000: 0000 [#1] PREEMPT SMP DEBUG_PAGEALLOC KASAN PTI [ 145.569789] KASAN: null-ptr-deref en el rango [0x000000000000000-0x0000000000000007] [ 145.569843] CPU: 2 PID: 1628 Comm: rmmod Kdump: cargado Tainted: GW 5.16.0-wt-ath+ #567 [ 145.569898] Nombre del hardware: Intel(R) Client Systems NUC8i7HVK/NUC8i7HVB, BIOS HNKBLi70.86A.0067.2021.0528.1339 28/05/2021 [145.569956] RIP: 0010:ath11k_hal_srng_access_begin+0xb5/0x2b0 [ath11k] [145.570028] Código: df 48 89 fa 48 c1 ea 03 80 3c 02 00 0f 85 ec 01 00 00 48 8b ab a8 00 00 00 48 b8 00 00 00 00 00 fc ff df 48 89 ea 48 c1 ea 03 <0f> b6 14 02 48 89 e8 83 e0 07 83 c0 03 45 85 ed 75 48 38 d0 7c 08 [ 145.570089] RSP: 0018:ffffc900025d7ac0 EFLAGS: 00010246 [ 145.570144] RAX: dffffc0000000000 RBX: ffff88814fca2dd8 RCX: 1ffffffff50cb455 [ 145.570196] RDX: 0000000000000000 RSI: ffff88814fca2dd8 RDI: ffff88814fca2e80 [ 145.570252] RBP: 0000000000000000 R08: 0000000000000000 R09: ffffffffa8659497 [ 145.570329] R10: fffffbfff50cb292 R11: 0000000000000001 R12: ffff88814fca0000 [ 145.570410] R13: 000000000000000 R14: ffff88814fca2798 R15: ffff88814fca2dd8 [ 145.570465] FS: 00007fa399988540(0000) GS:ffff888233e00000(0000) knlGS:0000000000000000 [ 145.570519] CS: 0010 DS: 0000 ES: 0000 CR0: 0000000080050033 [ 145.570571] CR2: 00007fa399b51421 CR3: 0000000137898002 CR4: 00000000003706e0 [ 145.570623] Rastreo de llamadas: [ 145.570675] [ 145.570727] ? ath11k_ce_tx_process_cb+0x34b/0x860 [ath11k] [145.570797] ath11k_ce_tx_process_cb+0x356/0x860 [ath11k] [145.570864]? tasklet_init+0x150/0x150 [145.570919]? ath11k_ce_alloc_pipes+0x280/0x280 [ath11k] [145.570986]? tasklet_clear_sched+0x42/0xe0 [145.571042]? tasklet_kill+0xe9/0x1b0 [145.571095]? irq_has_action+0x120/0x120 [ 145.571202] ath11k_ce_cleanup_pipes+0x45a/0x580 [ath11k] [ 145.571270] ? ath11k_pci_stop+0x10e/0x170 [ath11k_pci] [ 145.571345] ath11k_core_stop+0x8a/0xc0 [ath11k] [ 145.571434] ath11k_core_deinit+0x9e/0x150 [ath11k] [ 145.571499] ath11k_pci_remove+0xd2/0x260 [ath11k_pci] [ 145.571553] pci_device_remove+0x9a/0x1c0 [ 145.571605] __device_release_driver+0x332/0x660 [ 145.571659] driver_detach+0x1e7/0x2c0 [ 145.571712] bus_remove_driver+0xe2/0x2d0 [ 145.571772] pci_unregister_driver+0x21/0x250 [ 145.571826] __do_sys_delete_module+0x30a/0x4b0 [ 145.571879] ? free_module+0xac0/0xac0 [ 145.571933] ? lockdep_hardirqs_on_prepare.part.0+0x18c/0x370 [ 145.571986] ? syscall_enter_from_user_mode+0x1d/0x50 [ 145.572039] ? lockdep_hardirqs_on+0x79/0x100 [ 145.572097] do_syscall_64+0x3b/0x90 [ 145.572153] entry_SYSCALL_64_after_hwframe+0x44/0xae Probado en: WCN6855 hw2.0 PCI WLAN.HSP.1.1-03003-QCAHSPSWPL_V1_V2_SILICONZ_LITE-2

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: ath11k: corrige el pánico del kernel durante la descarga/carga de módulos ath11k Llame a netif_napi_del() desde ath11k_ahb_free_ext_irq() para corregir el siguiente pánico del kernel al descargar/cargar módulos ath11k durante algunas iteraciones. [ 971.201365] No se puede manejar la solicitud de paginación del núcleo en la dirección virtual 6d97a208 [ 971.204227] pgd = 594c2919 [ 971.211478] [6d97a208] *pgd=00000000 [ 971.214120] Error interno: Oops: 5 [#1] PREEMPT SMP ARM [ 971.412024] CPU: 2 PID: 4435 Comm: insmod No contaminado 5.4.89 #0 [ 971.434256] Nombre del hardware: Sistema genérico basado en DT [ 971.440165] La PC está en napi_by_id+0x10/0x40 [ 971.445019] LR está en netif_napi_add+0x160/0x1dc [ 971.743127] (napi_by_id) desde [<807d89a0>] (netif_napi_add+0x160/0x1dc) [ 971.751295] (netif_napi_add) desde [<7f1209ac>] (ath11k_ahb_config_irq+0xf8/0x414 [ath11k_ahb]) [ 971.759164] (ath11k_ahb_config_irq [ath11k_ahb]) desde [<7f12135c>] (ath11k_ahb_probe+0x40c/0x51c [ath11k_ahb]) [ 971.768567] (ath11k_ahb_probe [ath11k_ahb]) desde [<80666864>] (platform_drv_probe+0x48/0x94) [ 971.779670] (platform_drv_probe) desde [<80664718>] (really_probe+0x1c8/0x450) [ 971.789389] (really_probe) desde [<80664cc4>] (driver_probe_device+0x15c/0x1b8) [ 971.797547] (driver_probe_device) desde [<80664f60>] (device_driver_attach+0x44/0x60) [ 971.805795] (device_driver_attach) desde [<806650a0>] (__driver_attach+0x124/0x140) [ 971.814822] (__driver_attach) desde [<80662adc>] (bus_for_each_dev+0x58/0xa4) [ 971.823328] (bus_for_each_dev) desde [<80663a2c>] (bus_add_driver+0xf0/0x1e8) [ 971.831662] (bus_add_driver) desde [<806658a4>] (driver_register+0xa8/0xf0) [ 971.839822] (driver_register) desde [<8030269c>] (do_one_initcall+0x78/0x1ac) [ 971.847638] (do_one_initcall) desde [<80392524>] (do_init_module+0x54/0x200) [ 971.855968] (do_init_module) desde [<803945b0>] (load_module+0x1e30/0x1ffc) [ 971.864126] (load_module) desde [<803948b0>] (sys_init_module+0x134/0x17c) [ 971.871852] (sys_init_module) desde [<80301000>] (ret_fast_syscall+0x0/0x50) Probado en: IPQ8074 hw2.0 AHB WLAN.HK.2.6.0.1-00760-QCAHKSWPL_SILICONZ-1

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: ath11k: pci: se corrige el fallo en suspensión si no se encuentra el archivo de la placa Mario informó que el kernel se bloqueaba en suspensión si ath11k no podía encontrar un archivo de placa: [ 473.693286] PM: Suspendiendo el sistema (s2idle) [ 473.693291] printk: Suspendiendo consola(s) (use no_console_suspend para depurar) [ 474.407787] ERROR: no se puede manejar el error de página para la dirección: 0000000000002070 [ 474.407791] #PF: acceso de lectura de supervisor en modo kernel [ 474.407794] #PF: error_code(0x0000) - página no presente [ 474.407798] PGD 0 P4D 0 [ 474.407801] Ups: 0000 [#1] PREEMPT SMP NOPTI [ 474.407805] CPU: 2 PID: 2350 Comm: kworker/u32:14 Contaminado: GW 5.16.0 #248 [...] [ 474.407868] Rastreo de llamadas: [ 474.407870] [ 474.407874] ? _raw_spin_lock_irqsave+0x2a/0x60 [ 474.407882] ? lock_timer_base+0x72/0xa0 [ 474.407889] ? _raw_spin_unlock_irqrestore+0x29/0x3d [ 474.407892] ? try_to_del_timer_sync+0x54/0x80 [ 474.407896] ath11k_dp_rx_pktlog_stop+0x49/0xc0 [ath11k] [ 474.407912] ath11k_core_suspend+0x34/0x130 [ath11k] [ 474.407923] ath11k_pci_pm_suspend+0x1b/0x50 [ath11k_pci] [ 474.407928] pci_pm_suspend+0x7e/0x170 [ 474.407935] ? pci_pm_freeze+0xc0/0xc0 [ 474.407939] dpm_run_callback+0x4e/0x150 [ 474.407947] __device_suspend+0x148/0x4c0 [ 474.407951] async_suspend+0x20/0x90 dmesg-efi-164255130401001: Ups #1 Parte 1 [ 474.407955] async_run_entry_fn+0x33/0x120 [ 474.407959] process_one_work+0x220/0x3f0 [ 474.407966] worker_thread+0x4a/0x3d0 [ 474.407971] kthread+0x17a/0x1a0 [ 474.407975] ? process_one_work+0x3f0/0x3f0 [ 474.407979] ? set_kthread_struct+0x40/0x40 [ 474.407983] ret_from_fork+0x22/0x30 [ 474.407991] El problema aquí es que la carga del archivo de la placa ocurre después de que ath11k_pci_probe() retorna exitosamente (la inicialización de ath11k ocurre de manera asincrónica) y el controlador de suspensión aún está habilitado, por supuesto fallando ya que ath11k no está inicializado correctamente. Solucione esto marcando ATH11K_FLAG_QMI_FAIL durante la suspensión y la reanudación. Probado en: WCN6855 hw2.0 PCI WLAN.HSP.1.1-03003-QCAHSPSWPL_V1_V2_SILICONZ_LITE-2

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: drm/amdkfd: bloqueo del trabajo de restauración de rango de svm cuando el proceso sale kfd_process_notifier_release limpia svm_range_restore_work que llama a svm_range_list_lock_and_flush_work para limpiar el trabajo de deferred_list, pero si el trabajo de deferred_list mmput libera al último usuario, llamará a exit_mmap -> notifier_release, es un bloqueo con el siguiente backtrace. Mueva el vaciado de svm_range_restore_work a kfd_process_wq_release para evitar el bloqueo. Luego, svm_range_restore_work toma la referencia task->mm para evitar que mm desaparezca mientras se validan y asignan rangos a la GPU. Cola de trabajo: eventos svm_range_deferred_list_work [amdgpu] Seguimiento de llamadas: wait_for_completion+0x94/0x100 __flush_work+0x12a/0x1e0 __cancel_work_timer+0x10e/0x190 cancel_delayed_work_sync+0x13/0x20 kfd_process_notifier_release+0x98/0x2a0 [amdgpu] __mmu_notifier_release+0x74/0x1f0 exit_mmap+0x170/0x200 mmput+0x5d/0x130 svm_range_deferred_list_work+0x104/0x230 [amdgpu] process_one_work+0x220/0x3c0

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: mlxsw: spectrum: Proteger contra puertos locales no válidos Al procesar eventos generados por el firmware del dispositivo, el controlador se protege a sí mismo de los eventos informados para puertos locales inexistentes, pero no para el puerto de la CPU (puerto local 0), que existe, pero no tiene todos los campos como cualquier puerto local. Esto puede resultar en una desreferencia de puntero NULL al intentar acceder a los campos 'struct mlxsw_sp_port' que no están inicializados para el puerto de la CPU. el commit 63b08b1f6834 ("mlxsw: spectrum: Proteger al controlador del firmware con errores") ya manejó este problema al abandonar temprano al procesar un evento PUDE informado para el puerto de la CPU. Generalice el enfoque moviendo la verificación a una función común y haciendo uso de ella en todos los lugares relevantes.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: drm/amd/display: Corregir pérdida de memoria [por qué] Se necesita la liberación de recursos en la ruta de manejo de errores para evitar pérdidas de memoria. [cómo] Solucione esto agregando kfree en la ruta de manejo de errores.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: Bluetooth: hci_sync: Se corrige la puesta en cola de comandos cuando HCI_UNREGISTER está configurado hci_cmd_sync_queue devolverá un error si se ha configurado el indicador HCI_UNREGISTER, ya que eso significa que se ha llamado a hci_unregister_dev, por lo que probablemente causará un uaf después del tiempo de espera, ya que se liberará el hdev.